XP Antivirus protection – come rimuovere questo virus
May 8th, 2008 | by Enrico |
XP Ativirus protection è un falso antivirus, infatti è un malware che vi segnala finti virus e vi invita a clickare su clean infected (pulizia)
Ecco quindi come rimuoverlo:
- Riavvia il sistema operativo in modalità provvisoria.
- Vai su Start –> Esegui –> digita “cmd” ed invio , per andare sulla console DOS .
- Da prompt digitare , nell’ordine , questi due comandi : “regsvr32 /u shlwapi.dll” e “regsvr32 /u wininet.dll” ; Questo serve a rimuovere le librerie dll del falso antispyware .
- Esegui il task manager (tasto destro sulla Barra di stato e nel menu che compare selezionare “Task Manager”) scegli il secondo cavaliere “Processi”.
- Cerca e termina i due processi XPAntivirus.exe e XPAntivirusUpdate.exe . Eventualmente ripeti l’operazione : devi essere assolutamente sicuro che XPantivirus non sia più in esecuzione per poter continuare.
Una volta eseguite queste semplici operazione è possibile cancellare le dll, gli eseguibili ed i link al virus maledetto.
Non è detto che debbano esistere tutti i files.
shlwapi.dll
wininet.dll
XP antivirus
XP Antivirus 2008.lnk
XPAntivirus.lnk
XPAntivirus.exe
XPAntivirusUpdate.exe
XPAntivirus on the Web.lnk
XPAntivirus.url
Uninstall XP Antivirus 2008.lnk
Uninstall XPAntivirus.lnk
A questo punto resta da pulire il registro del sistema, esegui regedit, vai su HKEY_USERS\Software\ e cancella la voce XP antivirus.
Riavvia ed il pc è tornato come nuovo.
Tags: antivirus, antivirus xp, malware, pulizia, regedit, regsvr32, rimozione virus, software, spyware, task manager, wininet dll
42 Responses to “XP Antivirus protection – come rimuovere questo virus”
By pagliaroli lino on Jun 26, 2008 | Reply
vorrei eliminare XP Antivirus 2008 dal mio compiuter, non lo ho installato e cè un icona ne l area di servizio e quando navigo si aprono continuamente delle finestre del antivirus grazie.
By Enrico on Jun 26, 2008 | Reply
segui le istruzioni qui sopra e vedrai che si toglie
By rik on Jun 28, 2008 | Reply
Ciao raga,
io seguendo la procedura non ho trovato nei processi da terminare quelli correlati ai seguenti: XPAntivirus.exe e XPAntivirusUpdate.exe
By j ribeiro on Jul 1, 2008 | Reply
deu certo pra min…
faz tudo ke esta acima …
si naum axar os dlls ou outros arquivos e so ir em execultar regedit e F3…
vlw….
By Andrea on Jul 25, 2008 | Reply
shlwapi.dll
wininet.dll
XP antivirus
XP Antivirus 2008.lnk
XPAntivirus.lnk
XPAntivirus.exe
XPAntivirusUpdate.exe
XPAntivirus on the Web.lnk
XPAntivirus.url
Uninstall XP Antivirus 2008.lnk
Uninstall XPAntivirus.lnk
nn riesco a cancellarli mi dice che sono protetti da scrittura!
By Enrico on Jul 25, 2008 | Reply
@Andrea, killbox lo conosci?
è un utility che ti permette di cacnellare i file anche se sono in esecuzione e sono protetti:
scaricalo da qui:
http://www.killbox.net/
è gratuito
By RandeX on Jul 28, 2008 | Reply
Attenzione, un nuovo tipo mi segnala questo processo:
pphctc5j0e7dj.exe
Comunque la guida è buona.
By Stefano Polidori on Aug 4, 2008 | Reply
grazie a Voi ho risolto il problema dell’ Antivirus Xp 2008..
SIETE MAGICI………………….
By Magix69 on Aug 4, 2008 | Reply
NON HO RISOLTO ……….
COME POSSO FARE ???
By Enrico on Aug 5, 2008 | Reply
@stefano Pampulu pimpulu parimpampum!
@magix69 ehm … un aiutino? cosa non è andato? consiglio di leggere anche questo:
http://www.etechs.it/xp-antivirus-2008-rimozione-definitiva-e-ripristino-dei-tab-desktop-e-screen-saver/
By enzop on Aug 5, 2008 | Reply
ciao ho fatto quasi tutto ma nn so come riavviare il notebook in modalità provvisoria per eliminare le .dll.come faccio ki m aiuta GRAZIE 1000
By Enrico on Aug 5, 2008 | Reply
@enzop modalità provvisoria: premere il tasto F8 all’avvio del computer (schermata nera) quando compare il menù di selezione selezionare modalità povvisoria.
Se non sai quando premerlo, premilo più volte, subito dopo la schermata del bios
By enzop on Aug 5, 2008 | Reply
graize enrico mo vedo un po
By enzop on Aug 5, 2008 | Reply
ninte non ci riesco dp un po il virus ricompare…..cm faccio?
By Enrico on Aug 5, 2008 | Reply
uhhh
questo è grave
http://www.etechs.it/xp-antivirus-2008-rimozione-definitiva-e-ripristino-dei-tab-desktop-e-screen-saver/
all’inizio del post c’è un free spyware scanner, clicka lì, scarica installa e pulisci
:)
By marluce on Aug 8, 2008 | Reply
excluir este antivirus
By Fr@ on Aug 8, 2008 | Reply
Raga ho beccato anche io sto virus in ufficio.
Dopo varie prove ho deciso di togliere l’hd, inserirlo in una slitta usb e collegarlo a casa; ho fatto una bella scansione con nod e ho pulito una marea di file infetti.
Però rimangono i seguenti problemi, oltre ad alcune instabilità del s.o. (xp):
- Non posso riavviare in modalità provvisoria;
- Non posso aprire né il task manager né il regedit.
Aiuto!
By Enrico on Aug 8, 2008 | Reply
Per il regedit:
http://www.etechs.it/regedit-disabilitato-riattiviamolo-in-pochi-passi/
Per il taskmanager:
http://amastaneh.blogspot.com/2006/01/task-manager-disabled.html
By Fr@ on Aug 8, 2008 | Reply
Grazie enrico per la risposta super veloce.
Comunque niente da fare in nessuno dei due casi: cliccando su enable regedit addirittura scarica un mp3 (enable-regedit.reg.mp3); naturalmente modifico l’estensione togliendo .mp3 ma comunque mi dice che l’editor è stato disabilitato dall’amministratore.
Per quanto riguarda la soluzione del task l’avevo già provata, ed anche se metto su disabilita mi appare il solito messaggio che è stato disabilitato dall’amministratore.
L’unico programma con cui sono riuscito a bloccare e cancellare i processi malefici è stato a-squared hijackfree.
Però i problemi rimangono.
By Enrico on Aug 8, 2008 | Reply
sigh, grazie d3ella segnalazione dell’ MP3 ho sistemato con uno zip
ho anche aggiornato il post, butta l’occhio e sappimi dire se ti va bene
By Fr@ on Aug 8, 2008 | Reply
Controllando con questo a-squared hijackfree ci sono una marea di programmi (anche soliti di windows) che richiamano quelle due dll maledette che non posso deregistrare.
Mi sono dimenticato di dire che un programma che mi permette di modificare il registro di sistema è Vilma Registry Explorer: ma se vado alla voce task manager e regedit e imposto il valore 0 (quindi abilitandoli) il virus maledetto li riporta subito a 1.
ARGH!!!
By Fr@ on Aug 8, 2008 | Reply
Niente Enrico, non funziona nemmeno con questo metodo.
Domanda: ma se ste dll le cancello manualmente cosa succede?
Poi controllando con Hijackthis ci sono stringhe che non mi convincono… posto il log:
Logfile of HijackThis v1.99.1
Scan saved at 18:25:28, on 08/08/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\anpsvi.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\dbxka.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\HiJackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: XBTP06568 – {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} – C:\Programmi\AOL Security Toolbar\tbu28\AOL_security_toolbar.dll
O2 – BHO: Spybot-S&D IE Protection – {53707962-6F74-2D53-2644-206D7942484F} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O3 – Toolbar: AOL Security Toolbar – {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} – C:\Programmi\AOL Security Toolbar\tbu28\AOL_security_toolbar.dll
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 – HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 – HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 – HKLM\..\Run: [nod32kui] “C:\Programmi\Eset\nod32kui.exe” /WAITSERVICE
O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe”
O4 – HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 – HKLM\..\Run: [iTunesHelper] “C:\Programmi\iTunes\iTunesHelper.exe”
O4 – HKLM\..\Run: [QuickTime Task] “C:\Programmi\QuickTime Alternative\QTTask.exe” -atboottime
O4 – HKLM\..\Run: [SpyHunter Security Suite] C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot – Search & Destroy\TeaTimer.exe
O4 – Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 – Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 – Extra context menu item: E&sporta in Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 – Extra ‘Tools’ menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 – Extra button: Ricerche – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: (no name) – {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
O9 – Extra ‘Tools’ menuitem: Spybot – Search && Destroy Configuration – {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 – Options group: [INTERNATIONAL] International*
O16 – DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) – http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{3BD67288-9D45-4448-876F-4CDD9A1BA94D}: NameServer = 212.216.112.112
O18 – Protocol: livecall – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 – Protocol: msnim – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 – Protocol: skype4com – {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 – Winlogon Notify: igfxcui – C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 – Winlogon Notify: WgaLogon – C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 – SSODL: WPDShServiceObj – {AAA288BA-9A4C-45B0-95D7-94D524869DB5} – C:\WINDOWS\system32\WPDShServiceObj.dll
O23 – Service: Ad-Aware 2007 Service (aawservice) – Lavasoft AB – C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 – Service: Apple Mobile Device – Apple, Inc. – C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 – Service: AVG Anti-Spyware Guard – GRISOFT s.r.o. – C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 – Service: Servizio iPod (iPod Service) – Apple Inc. – C:\Programmi\iPod\bin\iPodService.exe
O23 – Service: Office Source Engine (ose) – Unknown owner – C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 – Service: Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc) – Unknown owner – C:\Programmi\Windows Media Player\WMPNetwk.exe (file missing)
By Marco on Aug 8, 2008 | Reply
ehi ragazzi ho 1grosso problema!! sono circa 3giorni ke ho questo scandalo di virus sul pc ma da ieri non si apre + all’avvio del pc la scansione del falso antivirus.
ho seguito le istruzioni del sito ma quando accedo alla console DOS e inserisco i comandi “regsvr32 /u shlwapi.dll” e “regsvr32 /u wininet.dll” mi compare il messaggio secondo cui “[...] è stato caricato ma il punto di registro DLLUNREGISTERSERVER non è stato trovato. questo file non può essere registrato”.
uscendo dalla schermata dei comandi e aprendo task manager non vi è traccia tra i processi di xpantivirus. exe e xpantivirusupdate.exe! sono allora andato a caccia dei files nella cartella system32 di windows ed ho trovato solo shlwapi.dll e wininet.dll ma provando ad eliminare mi dice ke l’accesso al file è negato perchè potrebbero essere in uso da 1altro programma! ke faccio?! help me, thanks -.-!!!
By Jallo on Aug 13, 2008 | Reply
Ragazzi ero andato mezzoretta in cantina col PC acceso che scaricava qualcosa, poi son tornato e mi son trovato sto schifo di malware che bloccava quasi tutto, ero disperato, ma fortuna che navigando col portatile ho trovato un sito che consigliava un buon spyware: superantispyware.com
ha tolto tutto tranne lo sfondo corrotto col messaggio fake, ma l’ho ripristinato con un altro ora sembra funzionare tutto (avevo un altro antispy ma non levava nulla, questo ha pulito anche in versione free)
By -rose- on Aug 17, 2008 | Reply
grazie dell aiuto! tra questo sito ,3 antivirus e un giorno di ricerca di soluzioni ho estirpato la bestia e rimesso le mie montagne di sfondo.E’ bello sapere di non essere l unica disperata quando succede qualcosa al computer!
By Massimo on Aug 18, 2008 | Reply
Ciao Rose,
potresti per cortesia spiegare in modo più esteso come hai fatto. Lo sfondo malefico mi rimane ancora, in più mi escono continui avisi di messaggi di posta elettronica.. grazie
By Massimo on Aug 20, 2008 | Reply
Ho risolto.
Scaricate il proggramma gratuito
http://www.malwarebytes.org/mbam.php
E FATE LA SCANSIONE,
FUNZIONA!!!
Saluti a tutti,
Massimo
By itacud on Aug 21, 2008 | Reply
Ragazzi io dovrei aver risolto il tutto, ho usato:
Malwarebytes’ Anti-Malware
http://www.malwarebytes.org/mbam.php
è tornato tutto normale.spero possa servire
ciao
By skorpione57 on Aug 29, 2008 | Reply
Ho avuto anche io il virus Antivirus windows xp 2008 e ho dato retta a Massimo.
Scaricate da un altro computer su una pen drive
http://www.malwarebytes.org/mbam.php
e avete risolto il problema
By matteo on Sep 3, 2008 | Reply
Vi amo – problema antivirus xp 2008 risolto in mezzora scaricando il programmino da voi consigliato, il mio è un pc da lavoro e se si ferma o perdo i dati sono finito.
usato programma scaricato free da http://www.malwarebytes.org/mbam.php
grazie ancora
By Roberta on Sep 3, 2008 | Reply
Grazie anch’io ho risolto scaricando il programmino http://www.malwarebytes.org/mbam.php
GRAZIE ANCORA!!! Erano 3 giorni, stavo uscendo
matta…Ciao
By Andrea on Sep 3, 2008 | Reply
Io mi sono beccato Antivirus XP 2008 3 giorni fa. Ho provato con malware-bytes ma dopo 8 minuti e mezzo mi è comparsa una schermata blu con delle scritte relative ad un errore critico del sistema e da li inizia un ciclo di tentati caricamenti di windows (cioè compare la schermata di caricamento di winwows e dopo un po’ di nuovo quella blu di prima e via così finchè non spengo il pc)
Avete qualche oluzione??
By Andrea on Sep 4, 2008 | Reply
Risolto tutto con malware-bytes! Grazie del link!
By gecko on Sep 6, 2008 | Reply
ma allora funziona sto malwarebytes, o Roberta Skorpione Matteo e andrea sono dei maledetti trolls?
By manuele on Sep 6, 2008 | Reply
salve io ho dei grandissimi problemi con questo malware… infatti il virus sembra come se si fosse evoluto e nella task manager non si trovano i due processi indicati… senza contare che nel prompt script non mi fà inserire i due codici elencati…
inoltre non posso scaricare il programma perchè cliccando sul link mi dà la schermata di impossibile visualizzazione della pagina…
che devo fare?
grazie in anticipo
ciao
By gecko on Sep 6, 2008 | Reply
ho provato…. FUNZIONAAAAA!!!!!!!!
GRAZIE RAGA!
By DEX on Sep 25, 2008 | Reply
io sono riuscito ad evitare l’installazione di XP antivirus 2008,però nel pannello di controllo è comparsa la sua icona.Ho cercato in tutti i modi di nasconderla o tolgierla ma non riesco a capire qual’ è il suo nome con l’estensione *.cpl.Cosa posso fare???GRAZIE
By ale on Feb 25, 2009 | Reply
ho levato tutto,solo che continua a darmi problemi ad esempio mi connette ad internet ma non apre le pagine dicendo impossibile connettersi nonostante la connessione appaglia attiva,continuo a fare scansioni con malwarebytes e norton antivirus ma non potendomi collegare ad int non me li aggiorna e non trova altri virus……………………????????????aiutoooooooooooooo